CB科技站

    最新消息:关注人工智能 AI赋能新媒体运营

    FIDO身份识别范围扩大,聚焦三大关键议题:数字证书、AI代理、欧盟CRA

    科技资讯 admin 浏览

    工研院资通所副所长黄维中于近期FIDO台湾分会活动,针对今年2月FIDO巴黎研讨会的最新进展,分享第一手趋势观察与解析。摄影/罗正汉

    想要了解“网络身份识别”的最新发展,FIDO联盟披露的技术路线一直是了解相关产业趋势的重要风向标。相较于前几年聚焦于通行密钥(Passkey)取代密码,以及IoT开放标准协议FDO和支付领域的Payment Passkey应用,2026年则呈现出全新的探讨重点。

    在今年2月举行的FIDO巴黎研讨会上,数字凭证与代理式AI已跃升为核心议题,欧盟网络韧性法案(CRA)也成为讨论焦点。这些动向不仅体现FIDO正在扩展其技术衔接范围,也预示着身份识别在AI代理时代所面临的全新挑战。

    FIDO技术迎来全新布局,从Passkey普及迈向多元生态对接

    有哪些全新发展重点?近期参加FIDO巴黎研讨会的工业技术研究院资通所副所长黄维中指出,他在本次会议中观察到三大核心议题:数字凭证、代理式AI,以及欧盟网络韧性法案(CRA)。

    焦点一:数字凭证(Digital Credential)

    首先是数字凭证与FIDO的结合。黄维中解释,过去FIDO标准主要聚焦于“身份验证”动作,适用于无需实名认证的场景。然而,随着数字钱包(Digital Wallet)兴起,如何安全存储并使用数字驾照、护照等数字凭证,已成为产业发展的新关键。

    针对这一趋势,FIDO联盟已展开布局。黄维中指出,为应对数字凭证带来的新需求,FIDO联盟近两年陆续推出DocAuth(文件验证)与Face Verification(人脸识别)两大标准,以解决数字凭证在在线注册(Onboarding)时的信任挑战。

    不过,在当前的数字凭证生态系统中,FIDO仅扮演其中一个环节,主要负责设备间的交互。例如,在欧盟eIDAS规范下,App与钱包之间的近距离交互即采用FIDO的CTAP协议。至于数字凭证本身的标准化,目前仍主要由OpenID基金会、W3C、IETF等组织主导,如ISO 18013中的移动驾照mDL标准。

    未来有哪些重要变化值得关注?黄维中指出FIDO数字凭证工作组(DCWG)的最新动向。他表示,在纳入数字钱包应用后,新增了“验证方(Verifier)”与“凭证管理器/钱包(Credential Manager)”两个角色,因此FIDO的角色也将与以往不同。

    基于此架构,DCWG未来将聚焦两大发展方向:第一是推动数字钱包的认证,确保其安全性与互操作性;第二是制定验证方识别规范,即确认“请求数据的验证方”是否合法合规,保障凭证交换过程的安全。

    焦点二:代理式AI(Agentic AI)

    谈到此次巴黎研讨会的最大收获,黄维中直言,FIDO与代理式AI的交汇点最引人注目,但也最令专家警惕。他强调,一旦AI代理能在系统面前“像人一样行动”,身份、授权与责任边界将同步被放大,风险不容忽视。

    黄维中转述会上专家对代理式AI的看法,首先,FIDO联盟将AI代理的交互模式归纳为三类:委托(Delegation)、冒充(Impersonation)、即时授权(Just-in-Time)。

    在三种交互模式中,委托模式被认为相对完整且具备防御空间。例如,用户使用Passkey完成授权后,向AI代理发放类似OAuth令牌的凭证以执行任务。黄维中强调,Passkey是目前唯一能有效验证“用户本人在场”(Human in the loop)的技术手段。此外,当前热度较高的MCP若配合OAuth也可行,但需注意OAuth去年已针对此类需求新增条款,企业应采用最新版本以确保完整性。

    冒充交互模式则被视为高风险区域,黄维中指出,目前AI代理失控案例多与此模式相关,因用户在设置时过度开放权限。

    至于即时授权模式,则被视为在效率与人工把关之间的折中方案。简单来说,用户最初仅授予基础权限,当AI代理欲执行关键操作时,再进行一次实时验证授权。

    那么FIDO联盟在代理式AI浪潮下将有哪些行动?黄维中指出两个讨论重点:

    (一)在当前技术讨论中,Passkey被视为极少数能有效确认“用户本人在场”的技术手段。因此,AI代理的安全流程中必须包含Passkey验证。

    (二)为进一步提升AI代理的安全性,FIDO联盟正在规划制定一套技术规范,将Passkey授权凭证作为AI代理的授权凭证,明确代理可执行与不可执行的操作范围。一旦发生问题,至少能追溯当初授权的边界,责任归属更清晰。因此,FIDO也将定义此类授权凭证的格式,预计将是未来一两年内联盟重点讨论的方向。

    黄维中补充,这类由Passkey签署的授权凭证,在中国大陆现行环境下,可与数字签名制度的适用性进行衔接,增强法律效力,因此对金融、政府与大型平台企业同样具有参考价值。

    焦点三:欧盟CRA(Cyber Resilience Act)

    最后一个重点是欧盟网络韧性法案(CRA),就目前联盟的讨论方向来看,CRA法案与FIDO的发展路线存在重叠与交集。

    首先是技术对齐方面,CRA要求设备内必须具备信任根(Root of Trust),与FIDO联盟的要求一致;其次是流程规范方面,FIDO标准对各项技术步骤如何生效、如何验证均有明文规定。

    第三点是最重要的CRA通报时限要求,即企业若发现漏洞,必须在24至72小时内向主管机关完成通报,否则将面临巨额罚款或产品禁售。黄维中指出,企业若采用自定义规范,需自行发现、追踪并上报漏洞;而若采用FIDO标准,FIDO联盟在漏洞追踪及提供符合欧盟通报要求的文档方面,能更高效协助合规。这种标准化的价值不仅体现在CRA,在欧盟其他合规要求中也屡次被提及。

    AI代理FIDO数位凭证EU CRA

    与本文相关的文章